Digital Omnibus on AI: il parere congiunto EDPB–EDPS
Semplificazione normativa o arretramento delle tutele?
Il 20 gennaio 2026, il Comitato Europeo per la Protezione dei Dati (EDPB) e il Garante Europeo della Protezione dei Dati (EDPS) hanno pubblicato un parere congiunto sulla proposta della Commissione Europea di modificare l’AI Act attraverso il cosiddetto Digital Omnibus on AI.
La proposta si presenta come un intervento di “semplificazione” dell’impianto regolatorio, con l’obiettivo di facilitare l’applicazione delle nuove regole sull’intelligenza artificiale e di ridurre gli oneri amministrativi, in particolare per imprese e pubbliche amministrazioni.
Nonostante l’apprezzamento iniziale per l’intento dichiarato, le due Autorità esprimono preoccupazioni rilevanti, soprattutto in relazione alla tutela dei diritti fondamentali e alla protezione dei dati personali.
1. Estensione del trattamento di dati particolari: una semplificazione che richiede cautela
Uno dei punti più delicati della proposta è l’introduzione del nuovo articolo 4a, che amplia la possibilità di trattare categorie particolari di dati personali per finalità di individuazione e correzione dei bias anche al di fuori dei sistemi ad alto rischio.
Nel regime attuale, l’AI Act consente questo tipo di trattamento solo in casi eccezionali e solo per i sistemi high risk, richiedendo sempre la “stretta necessità” dell’operazione.
La novità introdotta appare significativa perché estende tale possibilità a tutti i sistemi di intelligenza artificiale, compresi quelli che, pur non essendo classificati come ad alto rischio, potrebbero comunque operare su larga scala o incidere su una pluralità di aspetti della vita quotidiana.
EDPB e EDPS riconoscono che bias detection e bias correction sono essenziali per un uso responsabile dell’AI; tuttavia, avvertono che facilitare l’uso di dati particolari in contesti non rigidamente circoscritti potrebbe tradursi in un aumento dei trattamenti invasivi, riducendo l’effettiva protezione degli individui.
A destare ulteriore perplessità è anche la scelta terminologica: il nuovo articolo utilizza il verbo “may”, lasciando incerta la portata reale della deroga agli articoli 6 e 9 del GDPR.
Secondo le Autorità, questa formulazione troppo vaga potrebbe generare applicazioni difformi e consentire trattamenti non adeguatamente giustificati. Per questo chiedono espressamente che la norma venga chiarita e che l’eventuale estensione della deroga sia formulata in modo inequivocabile.
2. Registrazione dei sistemi “esenti”: meno oneri o meno trasparenza?
La proposta della Commissione prevede di eliminare l’obbligo, oggi previsto dall’AI Act per i provider, di registrare nel database europeo quei sistemi elencati nell’Allegato III ma che il produttore ritiene, dopo valutazione, non essere ad alto rischio.
Sebbene la Commissione presenti tale soppressione come una riduzione degli oneri amministrativi, EDPB e EDPS ritengono che questa scelta possa indebolire in modo significativo i meccanismi di trasparenza dell’intero impianto normativo.
La registrazione, infatti, non ha solo un valore formale: consente al pubblico, ai deployer e alle autorità competenti di conoscere le valutazioni alla base della scelta di non considerare un sistema come high risk, permettendo un controllo più efficace e tempestivo.
Secondo le Autorità, rinunciare a questo meccanismo rischia di creare un incentivo perverso, spingendo i provider a ricorrere più facilmente all’autovalutazione per sottrarsi agli obblighi più stringenti previsti per i sistemi ad alto rischio.
I risparmi derivanti da questa modifica sono quindi giudicati modesti e insufficienti a giustificare un arretramento delle garanzie.
3. Sandboxes europee: innovazione sì, ma con presidi chiari
Un’altra innovazione del Digital Omnibus riguarda la creazione di AI regulatory sandboxes a livello europeo, complementari a quelle già previste a livello nazionale.
L’obiettivo è promuovere l’innovazione, sostenere le PMI e favorire sperimentazioni regolamentate in un ambiente controllato.
Anche in questo caso, però, la proposta lascia aperte questioni cruciali. A differenza delle sandboxes nazionali, l’impianto europeo non prevede espressamente il coinvolgimento delle autorità di protezione dei dati nella supervisione dei trattamenti.
EDPB e EDPS ritengono questo elemento critico, poiché la sperimentazione può comportare un uso intensivo di dati personali. Inoltre, non è chiaro come si applicherebbero i meccanismi di cooperazione previsti dal GDPR né quale Autorità sarebbe competente nei casi transfrontalieri.
Per evitare incertezze e conflitti interpretativi, le due Autorità suggeriscono di attribuire formalmente all’EDPB un ruolo consultivo e di osservatore all’interno dell’AI Board, così da garantire maggiore coerenza nell’applicazione delle norme.
